Pozostań zalogowany w najlepszych praktykach: w jaki sposób nazwa użytkownika w pliku cookie zwiększa bezpieczeństwo?

To jest gałąź innego pytania:Jak najlepiej wdrożyć „zapamiętaj mnie” na stronie internetowej?

Najważniejszą odpowiedzią jest wdrożenie tego:http://jaspan.com/improved_persistent_login_cookie_best_practice

Podsumowanie:

Użyj losowej liczby jako żetonu serii, a innej jako żetonu logowania. Umieść te w ciasteczku Stay Logged In wraz z nazwą użytkownika. Przypisz drugi, normalny plik cookie sesji. Za każdym razem, gdy użytkownik przybywa bez ciasteczka sesyjnego, zużyj plik cookie z zalogowanym pobytem. Wydaj nowy, tym razem z nowym losowym tokenem logowania, utrzymując ten sam symbol serii.

Dlaczego warto podać nazwę użytkownika? Jak to pomaga? Token serii powinien wystarczyć do identyfikacji użytkownika i serii. Token serii został dodany w tym podejściu, aby zapobiec atakowi DoS, w którym atakujący zgaduje wszystkie nazwy użytkowników i uderza w witrynę jednocześnie, wylogowując wszystkich. Ale dlaczego sensowne jest pozostawienie nazwy użytkownika w ogóle?